Обход блокировки макросов: вредоносные документы доставляют в контейнерах

Обход блокировки макросов: вредоносные документы доставляют в контейнерах

Обход блокировки макросов: вредоносные документы доставляют в контейнерах

Киберпреступники встраивают документы Office с активированными макросами в файлы контейнеров (архивы, образы дисков), что позволяет им обходить недавно реализованный механизм блокировки макросов в Microsoft Office.

Напомним, что изначально корпорация из Редмонда представила функцию блокировки макросов в феврале. Задача новой «фичи» — затруднить активацию потенциально опасного содержимого в загруженных из Сети документах.

Именно макросами часто пользуются злоумышленники в фишинговых атаках и для доставки вредоносных программ, поэтому в 2016 году Microsoft решила предоставить в Office 2013 возможность блокировать макросы.

Поскольку фишеры начали использовать социальную инженерию и другие уловки, с помощью которых заставляли пользователя активировать макросы, Microsoft пошла ещё дальше и заблокировать их по умолчанию. И хоть сначала ходили разговоры об отказе от этой идеи, корпорация все же начала реализовывать задуманное.

Как выяснили специалисты Proofpoint, у киберпреступников нашелся ответ на действия Microsoft: они начали доставлять вредоносные документы Office внутри файлов-контейнеров — IMG (.img), ISO (.iso), RAR (.rar) и ZIP (.zip).

 

«При загрузке файлов в формате ISO, RAR и т. п. из Сети им присвоят атрибут MOTW (“Mark Of The Web”), однако у документов, находящихся внутри, такого атрибута уже не будет», — пишут исследователи.

Пользователю все равно придется активировать макросы, однако система уже не будет рассматривать документ как загруженный из Сети файл, что, само собой, понизит уровень защиты. В период между октябрем 2021 года и июнем 2022-го Proofpoint зафиксировала рост интереса злоумышленников к файлам формата ISO, RAR и LNK. Например, ярлыки с октября стали встречаться в атаках на 1675% чаще.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Российские киберполицейские арестовали серийного мошенника

УБК МВД России, главк МВД, специализирующийся на борьбе с киберпреступностью, задержал двоих участников межрегиональной преступной группы. Они специализировались на похищении денежных средств под видом инвестирования.

На одного из злоумышленников, который проживал в Смоленской области, вышли оперативники УБК МВД по Республике Саха (Якутия).

К ним обратился житель региона, у которого аферисты украли более 4 млн рублей под видом инвестирования в прибыльные проекты. Об этом сообщила пресс-секретарь МВД России Ирина Волк в официальном телеграм-канале.

Якутским киберполицейским удалось определить местонахождение одного из мошенников. Он был арестован в Смоленской области. В ходе обыска у него изъяли более 120 сим-карт, свыше 20 банковских карт и другие материалы, которые имеют доказательное значение.

Задержанный причастен не менее чем к 80 эпизодам, совершенным в разных российских регионах. Он сообщил, что действовал по указаниям жителя Ставропольского края, которого оперативники также задержали.

Инициировано расследование по уголовному делу (статья 159 УК РФ — «Мошенничество»).

Всего, по оценке заместителя председателя правления Сбербанка Михаила Кузнецова, в 2024 году ущерб от такого рода преступлений составит около 250 млрд рублей.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru